关于 macOS Mojave 10.14.5、安全性更新 2019-003 High Sierra、安全性更新 2019-003 Sierra 的安全性内容

本文介绍了 macOS Mojave 10.14.5、安全性更新 2019-003 High Sierra、安全性更新 2019-003 Sierra 的安全性内容。

关于 Apple 安全性更新

为保护我们的客户,在没有进行调查并推出修补程序或发行版本之前,Apple 不会透露、讨论或确认安全性问题。“Apple 安全性更新”页面上列出了近期发布的版本。

Apple 安全性文稿会尽可能以 CVE-ID 来引用安全漏洞。

如果需要了解有关安全性的更多信息,请参阅“Apple 产品安全性”页面。

macOS Mojave 10.14.5、安全性更新 2019-003 High Sierra、安全性更新 2019-003 Sierra

发布于 2019 年 5 月 13 日

访问权限框架

适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6、macOS Mojave 10.14.4

影响:应用程序或许能够读取受限内存

描述:已通过改进输入清理解决验证问题。

CVE-2019-8603: Phoenhex and qwerty (@_niklasb, @qwertyoruiopz, @bkth_) working with Trend Micro's Zero Day Initiative

AMD

适用于:macOS Mojave 10.14.4

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2019-8635: Lilang Wu and Moony Li of TrendMicro Mobile Security Research Team working with Trend Micro's Zero Day Initiative

应用程序防火墙

适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6、macOS Mojave 10.14.4

影响:应用程序或许能够以内核权限执行任意代码

描述:已通过改进访问限制解决逻辑问题。

CVE-2019-8590: The UK’s National Cyber Security Centre (NCSC)

归档实用工具

适用于:macOS Mojave 10.14.4

影响:沙箱化进程或许能够绕过沙箱限制

描述:已通过改进验证解决逻辑问题。

CVE-2019-8640: Ash Fox of Fitbit Product Security

条目添加于 2019 年 8 月 1 日

蓝牙

适用于:macOS Mojave 10.14.4

影响:由于低功耗蓝牙 (BLE) 版 FIDO 安全密钥的蓝牙配对协议中存在错误配置,因此物理距离较近的攻击者或许能够在配对期间拦截蓝牙流量

描述:已通过停用蓝牙连接不安全的配件解决这个问题。如果客户使用 Google 低功耗蓝牙 (BLE) 版 Titan 安全密钥,则客户应查看安卓六月发布的公告以及 Google 发布的忠告,并采取相应措施。

CVE-2019-2102:Microsoft Corp. 的 Matt Beaver 和 Erik Peterson

条目添加于 2019 年 9 月 17 日

CoreAudio

适用于:macOS Sierra 10.12.6、macOS Mojave 10.14.4、macOS High Sierra 10.13.6

影响:处理恶意制作的音频文件可能会导致任意代码执行

描述:已通过改进错误处理方式解决内存损坏问题。

CVE-2019-8592: riusksk of VulWar Corp working with Trend Micro's Zero Day Initiative

条目更新于 2019 年 10 月 8 日

CoreAudio

适用于:macOS Mojave 10.14.4

影响:处理恶意制作的影片文件可能会导致任意代码执行

描述:已通过改进输入验证解决越界读取问题。

CVE-2019-8585: riusksk of VulWar Corp working with Trend Micro's Zero Day Initiative

CoreText

适用于:macOS Mojave 10.14.4

影响:处理恶意制作的字体可能会导致进程内存泄漏

描述:已通过改进边界检查解决越界读取问题。

CVE-2019-8582: riusksk of VulWar Corp working with Trend Micro's Zero Day Initiative

条目添加于 2019 年 7 月 25 日

DesktopServices

适用于:macOS Mojave 10.14.4

影响:恶意应用程序可能绕过门禁检查

描述:已通过改进检查解决这个问题。

CVE-2019-8589: Andreas Clementi, Stefan Haselwanter, and Peter Stelzhammer of AV-Comparatives

磁盘映像

适用于:macOS Sierra 10.12.6、macOS Mojave 10.14.4、macOS High Sierra 10.13.6

影响:应用程序或许能够读取受限内存

描述:已通过改进输入清理解决验证问题。

CVE-2019-8560: Nikita Pupyshev of Bauman Moscow State Technological University

条目更新于 2019 年 5 月 14 日

EFI

适用于:macOS Mojave 10.14.4

影响:用户可能意外登录到另一个用户的帐户

描述:已通过改进状态管理解决认证问题。

CVE-2019-8634: Jenny Sprenger and Maik Hoepfel

Intel 图形卡驱动程序

适用于:macOS Mojave 10.14.4

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2019-8616: Lilang Wu and Moony Li of Trend Micro Mobile Security Research Team working with Trend Micro's Zero Day Initiative

Intel 图形卡驱动程序

适用于:macOS High Sierra 10.13.6、macOS Mojave 10.14.4

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存初始化问题。

CVE-2019-8629: Arash Tohidi of Solita Oy

IOAcceleratorFamily

适用于:macOS High Sierra 10.13.6

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2018-4456: Tyler Bohan of Cisco Talos

IOKit

适用于:macOS High Sierra 10.13.6、macOS Mojave 10.14.4

影响:本地用户或许能够载入未经签名的内核扩展

描述:处理符号链接时存在验证问题。已通过改进对符号链接的验证解决这个问题。

CVE-2019-8606: Phoenhex and qwerty (@_niklasb, @qwertyoruiopz, @bkth_) working with Trend Micro's Zero Day Initiative

内核

适用于:macOS Mojave 10.14.4、macOS High Sierra 10.13.6

影响:应用程序或许能够读取受限内存

描述:已通过改进输入清理解决验证问题。

CVE-2019-8633: Zhuo Liang of Qihoo 360 Vulcan Team

条目添加于 2019 年 7 月 25 日,更新于 2019 年 9 月 17 日

内核

适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6

影响:应用程序或许能够以内核权限执行任意代码

描述:已通过改进状态管理解决内存损坏问题。

CVE-2019-8525: Zhuo Liang and shrek_wzw of Qihoo 360 Nirvan Team

条目添加于 2019 年 5 月 14 日

内核

适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6

影响:远程攻击者或许能够泄漏内存

描述:存在导致内核内存泄漏的越界读取问题。已通过改进输入验证解决这个问题。

CVE-2019-8547: derrek (@derrekr6)

条目添加于 2019 年 5 月 14 日

内核

适用于:macOS Mojave 10.14.4

影响:本地用户或许能够导致系统意外终止或读取内核内存

描述:已通过改进边界检查解决越界读取问题。

CVE-2019-8576: Brandon Azad of Google Project Zero, Junho Jang and Hanul Choi of LINE Security Team

条目更新于 2019 年 5 月 30 日

内核

适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6、macOS Mojave 10.14.4

影响:应用程序可能会导致系统意外终止或写入内核内存

描述:已通过改进内存处理解决类型混淆问题。

CVE-2019-8591: Ned Williamson working with Google Project Zero

信息

适用于:macOS Mojave 10.14.4

影响:远程攻击者或许能够导致服务遭系统拒绝

描述:已通过改进输入验证解决输入验证问题。

CVE-2019-8573:Google Project Zero 的 natashenka

条目添加于 2019 年 7 月 3 日

信息

适用于:macOS Mojave 10.14.4

影响:从 iMessage 信息对话中移除的用户可能仍然能更改状态

描述:已通过改进状态管理解决逻辑问题。

CVE-2019-8631: Jamie Bishop of Dynastic

条目添加于 2019 年 8 月 1 日

微代码

适用于:macOS Mojave 10.14.4

影响:如果在配备微处理器且采用预测执行的系统中载入端口、填充缓冲区和储存缓冲区,可能会允许具有本地用户访问权限的攻击者能够通过边信道泄漏信息。

描述:已通过更新微代码并更改 OS 安排工具以将系统与浏览器中运行的网页内容隔离开来,部分解决了多个信息泄漏问题。默认情况下,要完全解决这类问题,可以采取其他可选缓解措施以停用超线程,并为所有进程启用基于微代码的缓解措施。有关缓解措施的详细信息,请参阅 https://support.apple.com/zh-cn/HT210107

CVE-2018-12126: Ke Sun, Henrique Kawakami, Kekai Hu, and Rodrigo Branco from Intel; Lei Shi - Qihoo 360 CERT; Marina Minkin; Daniel Genkin from University of Michigan; and Yuval Yarom from University of Adelaide

CVE-2018-12127: Brandon Falk from Microsoft Windows Platform Security Team; and Ke Sun, Henrique Kawakami, Kekai Hu, and Rodrigo Branco from Intel

CVE-2018-12130: Giorgi Maisuradze from Microsoft Research; Ke Sun, Henrique Kawakami, Kekai Hu, and Rodrigo Branco from Intel; Moritz Lipp, Michael Schwarz, and Daniel Gruss from Graz University of Technology; Stephan van Schaik, Alyssa Milburn, Sebastian Osterlund, Pietro Frigo, Kaveh Razavi, Herbert Bos, and Cristiano Giuffrida from VUSec group at VU Amsterdam; Volodymyr Pikhur; and Dan Horea Lutas from BitDefender

CVE-2019-11091: Ke Sun, Henrique Kawakami, Kekai Hu, and Rodrigo Branco from Intel; and Moritz Lipp, Michael Schwarz, and Daniel Gruss from Graz University of Technology

条目添加于 2019 年 5 月 14 日

安全性

适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6、macOS Mojave 10.14.4

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2019-8604: Fluoroacetate working with Trend Micro's Zero Day Initiative

SQLite

适用于:macOS Mojave 10.14.4

影响:应用程序或许能够获取提升的权限

描述:已通过改进内存处理解决输入验证问题。

CVE-2019-8577: Omer Gull of Checkpoint Research

SQLite

适用于:macOS Mojave 10.14.4

影响:恶意制作的 SQL 查询可能会导致任意代码执行

描述:已通过改进输入验证解决内存损坏问题。

CVE-2019-8600: Omer Gull of Checkpoint Research

SQLite

适用于:macOS Mojave 10.14.4

影响:恶意应用程序或许能够读取受限内存

描述:已通过改进输入验证解决输入验证问题。

CVE-2019-8598: Omer Gull of Checkpoint Research

SQLite

适用于:macOS Mojave 10.14.4

影响:恶意应用程序或许能够提升权限

描述:已通过移除易受攻击的代码解决内存损坏问题。

CVE-2019-8602: Omer Gull of Checkpoint Research

StreamingZip

适用于:macOS Mojave 10.14.4

影响:本地用户或许能够修改文件系统的受保护部分

描述:处理符号链接时存在验证问题。已通过改进对符号链接的验证解决这个问题。

CVE-2019-8568: Dany Lisiansky (@DanyL931)

sysdiagnose

适用于:macOS Sierra 10.12.6、macOS Mojave 10.14.4、macOS High Sierra 10.13.6

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进权限逻辑解决这个问题。

CVE-2019-8574: Dayton Pidhirney (@_watbulb) of Seekintoo (@seekintoo)

条目更新于 2021 年 3 月 26 日

触控栏支持

适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2019-8569: Viktor Oreshkin (@stek29)

WebKit

适用于:macOS Mojave 10.14.4

影响:处理恶意制作的网页内容可能会导致任意代码执行

描述:已通过改进内存处理解决多个内存损坏问题。

CVE-2019-6237: G. Geshev working with Trend Micro Zero Day Initiative, Liu Long of Qihoo 360 Vulcan Team

CVE-2019-8571: 01 working with Trend Micro's Zero Day Initiative

CVE-2019-8583: sakura of Tencent Xuanwu Lab, jessica (@babyjess1ca_) of Tencent Keen Lab, and dwfault working at ADLab of Venustech

CVE-2019-8584: G. Geshev of MWR Labs working with Trend Micro Zero Day Initiative

CVE-2019-8586: an anonymous researcher

CVE-2019-8587: G. Geshev working with Trend Micro Zero Day Initiative

CVE-2019-8594: Suyoung Lee and Sooel Son of KAIST Web Security & Privacy Lab and HyungSeok Han and Sang Kil Cha of KAIST SoftSec Lab

CVE-2019-8595: G. Geshev from MWR Labs working with Trend Micro Zero Day Initiative

CVE-2019-8596: Wen Xu of SSLab at Georgia Tech

CVE-2019-8597: 01 working with Trend Micro Zero Day Initiative

CVE-2019-8601: Fluoroacetate working with Trend Micro's Zero Day Initiative

CVE-2019-8608: G. Geshev working with Trend Micro Zero Day Initiative

CVE-2019-8609: Wen Xu of SSLab, Georgia Tech

CVE-2019-8610: Anonymous working with Trend Micro Zero Day Initiative

CVE-2019-8611: Samuel Groß of Google Project Zero

CVE-2019-8615: G. Geshev from MWR Labs working with Trend Micro's Zero Day Initiative

CVE-2019-8619: Wen Xu of SSLab at Georgia Tech and Hanqing Zhao of Chaitin Security Research Lab

CVE-2019-8622: Samuel Groß of Google Project Zero

CVE-2019-8623: Samuel Groß of Google Project Zero

CVE-2019-8628: Wen Xu of SSLab at Georgia Tech and Hanqing Zhao of Chaitin Security Research Lab

WebKit

适用于:macOS Mojave 10.14.4

影响:处理恶意制作的网页内容可能会导致进程内存泄漏

描述:已通过改进输入验证解决越界读取问题。

CVE-2019-8607: Junho Jang and Hanul Choi of LINE Security Team

Wi-Fi

适用于:macOS Mojave 10.14.4

影响:拥有特权网络地位的攻击者可以修改驱动器状态

描述:已通过改进状态管理解决逻辑问题。

CVE-2019-8612: Milan Stute of Secure Mobile Networking Lab at Technische Universität Darmstadt

条目添加于 2019 年 5 月 14 日

其他表彰

CoreAudio

由衷感谢致力于 Trend Micro 的“Zero Day Initiative”(零时差计划)的 VulWar Corp 的 riusksk 为我们提供的协助。

条目添加于 2019 年 7 月 25 日

CoreFoundation

由衷感谢腾讯玄武实验室的 m4bln、Xiangqian Zhang、Huiming Liu 以及 Vozzie、Rami 为我们提供的协助。

条目更新于 2019 年 5 月 14 日

内核

由衷感谢 Denis Kopyrin 为我们提供的协助。

条目更新于 2019 年 5 月 14 日

PackageKit

由衷感谢 Csaba Fitzl (@theevilbit) 为我们提供的协助。

Safari 浏览器

由衷感谢来自 Gradescope by Turnitin 的 Michael Ball 为我们提供的协助。

系统偏好设置

由衷感谢一位匿名研究人员为我们提供的协助。

有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。联系供应商以了解其他信息。

发布日期: